Публикации по теме 'bug-bounty'


Успешный прототип загрязнения, привязанный к DOM XSS
Недавно я обнаружил уязвимость, которая немного менее распространена и довольно интересна тем, как она работает. Привет, охотники , сегодня я решил поделиться с вами своим последним маленьким открытием и немного подробнее объяснить, как работает прототип загрязнения . Что такое прототипное загрязнение? Определение из PortSwigger : Загрязнение прототипа — это уязвимость JavaScript, которая позволяет злоумышленнику добавлять произвольные свойства к прототипам глобальных объектов,..
Что нужно знать об улучшениях PVS-Studio
Оригинал: pvs-studio.com В этой статье вы узнаете о новых полезных функциях, появившихся в PVS-Studio за последние три года. Статья состоит из нескольких разделов — так что вам не обязательно читать всю статью, вы можете просто выбрать интересующую вас тему. Случайно наткнулись на эту статью? Не знаете, что такое PVS-Studio? PVS-Studio — это статический анализатор, который ищет ошибки и дефекты безопасности в коде C, C++, C# и Java. Инструмент помогает находить проблемы на..
Экран захвата + Сеть = ReproNow
Представим, что вам дается задание исправить ошибку в Интернете, которую кто-то зарегистрировал. Вам нужно будет понять, в чем заключается ошибка, найти конечную точку, пройти этапы воспроизведения и точно понять, какой запрос вызвал проблему, а затем попытаться исправить ее. Что, если есть инструмент, который дает вам не только запись экрана, но и сетевую запись. Инструмент может отображать как запрос / ответ, так и видео, а также синхронизировать его. Вы можете выполнить поиск, чтобы..
Выплаты Google Bug Bounty становятся безумными
Google заплатит эквивалент щедрой годовой зарплаты, если вы раздавите это. Bug bounty становятся все более прибыльными, намекая на то, как много компаний полагаются на краудсорсинг для поиска уязвимостей, которые могут вывести из строя их системы. Например, Google увеличил вознаграждение за определенные ошибки Chrome до 30 000 долларов (по сравнению с 15 000 долларов). Согласно новым Правилам программы вознаграждения за уязвимости Chrome , высококачественный отчет с функциональным..
Советы по поиску ошибок №5 - Стремитесь стать первоклассным специалистом в своей нише
Чтобы заработать больше денег на программах вознаграждения за ошибки, станьте лучшим в мире в одном деле и игнорируйте все остальное. Вот почему. Очень заманчиво попытаться изучить и применить все, что можно, чтобы узнать о различных типах уязвимостей. Когда вы смотрите на сообщения о вознаграждении за ошибки, подобные той, что hackerone.com , становится ясно, насколько различаются каждая из обнаруженных уязвимостей. Когда я впервые начал изучать программы bug bounty, я думал, что..
Кража сведений о пользователях с помощью CORS
Давайте начнем с совместного использования ресурсов Cross Origin. Ниже показано, как работает CORS. Я охотился на частном сайте, во время обнаружения контента я замечал все запросы и ответы, в то время я заметил, что приложение использует заголовок «Origin» в запросе. а что такое исходный заголовок? Заголовок запроса Origin указывает, откуда происходит выборка. Он не включает никакой информации о пути, а только имя сервера. Он отправляется с запросами CORS, а также с запросами..
Предотвращение атак путаницы зависимостей в Python
Прежде чем мы перейдем к тому, как защитить приложения Python от атак путаницы зависимостей, мы определим этот новый вектор атаки, расскажем немного об истории и рассмотрим примеры. Что такое путаница в зависимостях? Dependency Confusion - это новый метод вторжения, который использует способ, которым многие языки программирования обрабатывают разрешение зависимостей, когда в проектах используется сочетание общедоступных и частных пакетов. Почти все новые программные проекты..